2015,51(9)
1 概述
随着计算机网络通信技术的发展,复杂的多用户协
同应用系统得到了广泛运用,访问控制成为辅助多用户
完成协同工作的基础。目前基于角色的访问控制机制
RBAC 由于其细粒度、用户与权限隔离等优点而得到广
泛的应用。同济大学的常彦德和西安电子科技大学的
李凤华等人从理论研究和应用研究两个方面分析和总
结 RBAC 国内外现 有研究成 果
[1-2]
。吴新松 、安晓飞等
人分别将 RBAC 模型应用到了疫情报告系统和招生系
统中
[3-4]
。
传统 RBAC 简化了系统授权管理的过程,通过引入
角色将用户主体和对客体的访问权限隔离开来,并实现
了权限最小化原则,但仍存在如下不足。首先,权限划
分仅局限于角色。通常多用户应用系统中,用户之间通
过协作完成具体的工作任务,工作任务是权限划分的最
小单位。传统 RBAC 模型中,权限与角色相关联,并只
能依赖于角色。当拥有多个职务的用户使用系统时,系
统会依据职务分别分配不同的角色,因此用户需要在多
个角色之间进行切换,广东工业大学 CIMS 重点实验室
的刘强等从 RBAC 的核心理论角色分析了存在的问题
[5]
;
中山大学的朱君等人提出了基于角色和任务的访问控
制模型 RTBAC
[6]
,赵静等人提出基于数据对象的分配用
户权限的方法
[7]
,试图通过任务状态或用户获得的数据
对象的不同对权限进行管理。
其次,授权管理过于集中。在 RBAC 中用户授权管
理集中在系统管理员,但在多用户协同系统中,由于参
与协作的用户数量大,势必会加重管理员的负担。武汉
工程大学的李晶等人提出采用逐级授权的 RBAC 访问
基于动态策略的 RDRBAC 权限访问控制模型
张 柱
1,2
,张博锋
2
,郑建兴
2
ZHANG Zhu
1,2
, ZHANG Bofeng
2
, ZHENG Jianxi ng
2
1.安徽理工大学 计算机科学与工程学院,安徽 淮南 232001
2.上海大学 计算机工程与科学学院,上海 200072
1.College of Computer S cience and Engineering, Anhui University of Science & Technology, Huainan, Anhu i 2 32001, China
2.School of Computer Engineering and Science, Shanghai University, Shanghai 200072, China
ZHANG Zhu, ZHANG Bof eng, ZHE NG Jianxing. Access con trol model RDRBAC based on dynami c policy. Com-
puter Engineer ing and Ap plications, 2015, 51(9):103-106.
Abstract:In th is paper, a multi-dimensional dynamic access control model RDRBAC based on the role-based access control
model RBAC is int roduced. It achieves task-based process dynamic allocation str ategy in a multi-user system by the intro-
duction of role object and permission arbitration mechanism to solve the defect of dynamic custo m, too heavy administrator
burden and the ro le permissions redundancy insufficient in RBAC. It has be en verified in the practical application system.
Key words:RDRBAC; dynamic decision-making mechanism; authorization; policy library; task stage
摘 要:在基于角色的访问控制模型 RBAC 的基础上,提出一种多维动态权限控制模型 RDRBAC。角色对象、权限
仲裁机制的引入实现了多用户系统中,基于任务流程的权限动态分配策略,解决了 RBAC 中权限动态定制、管理员
负担过重以及角色权限冗余等不足,并在实际应用中得到了验证。
关键词:多维动态权限控制模型(RDRBAC);动态决策机制;授权;策略库;任务阶段
文献标志码:A 中图分类号:TP393 doi:10.3778/j.issn.1002-8331.1305-0418
基金项目:安徽理工大学青年教师科学研究基金资助。
作者简介:张柱(1978—),男,博士研究生,讲师,主要研究方向:信息安全,智能信息处理;张博锋(1968—),男,博士后,教授,
研究员,主要研究方向:智能人机交互,智能信息处理,健康信息技术;郑建兴(1985—),男,博士研究生,主要研究方向:
智能人机交互,智能信息处理。
收稿日期:2 013-05-30 修回日期:2 013-08-15 文章编号:1 002-8331(2015)09-0103-04
CNKI 网络优先出版:2013-09-24,http://www.cnki.net/kcms/detail/11.2127 .TP.20130924.09 43.011.html
C omputer Engineering and Applicat ions 计算机工程与应用
103